3
Doppeltes VLAN-Tagging
Moin moin zusammen,
nach jahrelangem "Passivlesen" habe ich heute auch eine Frage an die große Gemeinschaft:
Es existiert ein Netzwerk, in welchem bereits mit VLANs auf Portmappingebene sowie Trunk-Ports gearbeitet wird:
VLAN 10 Mgmnt
VLAN 20 Storage
VLAN 30 Intranet
Derzeit besteht zu einem weiteren Switch entsprechend ein Trunk, auf welchem die gleiche VLANs wiederum auf phys. Ports gemappt werden.
Also eine ganz einfache Übungen: einzelne Ports zu VLANs assigned in der Mitte ein lustiger Trunk.
Jetzt sollen die beiden Switche via direkter LWL-Leitung (3KM) weiterhin verbunden bleiben - klar LWL Port bekommt Trunk.
Aber jetzt kommt die Krux: über dieselbe LWL-Leitung müssen noch fremde Netze gereicht werden. Sprich: ich muss auf der LWL-Strecke via VLAN weitere Netze eingliedern. Das Problem ist jedoch, dass, auch aus Datenschutzgründen, die Initialkonfig mit VLAN 10, 20 und 30 nicht verändert werden soll.
MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30) =============== LWL (MIT VLANS ZUR TRENNUNG VON MEIN NETZ UND FREMDNETZ ================ MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30)
| | | |
FREMDNETZ (UNTAGGED) ====================== ====================== FREMDNETZ (UNTAGGED)
Um die Trennung auf der LWL-Stecke zur erreichen, würde ich 2 Extraswitche an die Endpunkte setzen und wiederum statische Ports auf VLANs mappen und einen Trunk auf die LWL Leitung legen.
Aber: Meine Pakete durchlaufen ja dann ein doppeltes Trunking - einmal von mir selbst und dann von außen auf der LWL-Trunkstrecke.
Ist dies überhaupt technisch möglich? Schließlich hat der Ethernetframe ja nur ein "Feld" für Tags...
Zudem sieht doch das ganze eher dann aus wie eine VLAN-Hopping-Attacke...
Sprich: eigentlich müsste ich meine VLANS doch auf phys. Ports mappen und dann einzeln auf den Switch zwischen der LWL-Leitung wieder "auflegen" - trunken - "auseinanderziehen" und erneut "auflegen"?
Vielen herzlichen Dank im Vorraus!
nach jahrelangem "Passivlesen" habe ich heute auch eine Frage an die große Gemeinschaft:
Es existiert ein Netzwerk, in welchem bereits mit VLANs auf Portmappingebene sowie Trunk-Ports gearbeitet wird:
VLAN 10 Mgmnt
VLAN 20 Storage
VLAN 30 Intranet
Derzeit besteht zu einem weiteren Switch entsprechend ein Trunk, auf welchem die gleiche VLANs wiederum auf phys. Ports gemappt werden.
Also eine ganz einfache Übungen: einzelne Ports zu VLANs assigned in der Mitte ein lustiger Trunk.
Jetzt sollen die beiden Switche via direkter LWL-Leitung (3KM) weiterhin verbunden bleiben - klar LWL Port bekommt Trunk.
Aber jetzt kommt die Krux: über dieselbe LWL-Leitung müssen noch fremde Netze gereicht werden. Sprich: ich muss auf der LWL-Strecke via VLAN weitere Netze eingliedern. Das Problem ist jedoch, dass, auch aus Datenschutzgründen, die Initialkonfig mit VLAN 10, 20 und 30 nicht verändert werden soll.
MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30) =============== LWL (MIT VLANS ZUR TRENNUNG VON MEIN NETZ UND FREMDNETZ ================ MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30)
| | | |
FREMDNETZ (UNTAGGED) ====================== ====================== FREMDNETZ (UNTAGGED)
Um die Trennung auf der LWL-Stecke zur erreichen, würde ich 2 Extraswitche an die Endpunkte setzen und wiederum statische Ports auf VLANs mappen und einen Trunk auf die LWL Leitung legen.
Aber: Meine Pakete durchlaufen ja dann ein doppeltes Trunking - einmal von mir selbst und dann von außen auf der LWL-Trunkstrecke.
Ist dies überhaupt technisch möglich? Schließlich hat der Ethernetframe ja nur ein "Feld" für Tags...
Zudem sieht doch das ganze eher dann aus wie eine VLAN-Hopping-Attacke...
Sprich: eigentlich müsste ich meine VLANS doch auf phys. Ports mappen und dann einzeln auf den Switch zwischen der LWL-Leitung wieder "auflegen" - trunken - "auseinanderziehen" und erneut "auflegen"?
Vielen herzlichen Dank im Vorraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271839
Url: https://administrator.de/contentid/271839
Printed on: April 19, 2024 at 06:04 o'clock
3 Comments
Latest comment
Google mal nach "Q-in-Q"!
Gruß
sk
Gruß
sk
Mensch vielen Dank! Das Stichwort hat mir gefehlt - jetzt hoffe ich, dass unsere "preiswerten" TP-Links das können - Cisco haben wir leider nicht
Muss kein Cisco sein. Nahezu alle Hersteller haben Switches im Portfolio, die diesen Standard unterstützen. Im Zweifel bei Herstellern suchen, die häufig in Metro-Ethernet-Netzen zum Einsatz kommen. ZyXEL wäre hier z.B. als einer der preiswerteren Vertreter zu nennen. Die sind in Deutschland bei sehr vielen City-Carriern im Einsatz.
Gruß
sk
Gruß
sk
